网络爱情骗子手腕高明,受害者如何避免当局
网络犯罪分子为他们的诈骗找到了一个新的发射台:美国各地的中小型企业的电话系统
最近几周,他们侵入全国数十个电话系统,将其作为一种联系不知情的银行客户并欺骗他们泄露他们的银行账号和密码的方法。
受害者通常与较小的区域机构银行联系,这些机构通常没有足够的资源来检测诈骗。诈骗者侵入电话系统,然后致电受害者,播放预先录制的信息,表明存在计费错误,或警告他们由于可疑活动而导致银行账户被暂停。如果担心的顾客输入他的账号和ATM密码,那么坏人会利用这些信息制作伪造的借记卡并清空其受害者的银行账户。
[更多阅读:最佳NAS媒体流和备份盒]黑客在20多年前闯入电话公司系统的头条新闻 - 这种做法被称为“诽谤” - 但随着传统电话系统与互联网融合,它正在为刚刚开始的欺诈行为创造新的机会理解。
VoIP(黑客协议)黑客攻击是“电信和网络(犯罪)交叉世界的一个新领域”,新泽西州助理美国律师Erez Liebermann说。 “这是一个持续的威胁,也是公司需要担心的一个严重威胁。”
对最受欢迎的VoIP系统之一称为Asterisk的攻击现在是“特有的”,John Todd说。创始人Digium作为开源社区主管。 “这就像偷了棒球棒闯入汽车一样,第一步就是闯入Asterisk。”
在2008年9月左右,Asterisk黑客从一个相当“低级问题”开始演变成更严重的问题,当易于使用的工具首次发布时,托德说。 “现在有人在做视频,有博客和播客,”他说。 “这些信息就在那里。”
通过使用这些工具,通过点击旨在将来自办公室局域网的流量连接到诸如AT&T之类的网络提供商的服务器可以非常容易地破解VoIP系统,打电话给世界其他地方。
黑客试图猜测VoIP系统的密码,进行数以千计的猜测。尽管像Gmail这样的互联网程序会在少数密码猜测失败后阻止访问者,但VoIP系统通常不会以这种方式进行配置,并且通常会让任何计算机连接到它们。所以黑客们殴打他们,试图猜测电话扩展。一旦他们找到扩展名,他们就会运行他们的字典攻击软件。如果密码很容易猜到,他们就可以在网络中免费拨打电话。
这就是位于西弗吉尼亚州Wheeling的Innovative Technologies公司的情况。它在10月初遭到黑客攻击,显然是罗马尼亚网络犯罪分子利用其VoIP系统向在加利福尼亚设有办事处的小型区域性银行Liberty Bank的客户打电话诈骗电话。“他们扫描了一大堆Innovative Technologies首席执行官Terry Lewis表示:“10月3日,刘易斯开始从收到诈骗电话的Liberty客户那里收到语音邮件。他在第二天检查了他的VoIP系统日志,发现黑客已经在周末拨打了大约300个电话 - 没有那么多的电话通常会被注意到。
一旦VoIP系统被黑客攻击,犯罪分子就会使用它执行基于电话的网络钓鱼攻击,有时称为“钓鱼”。钓鱼攻击已经出现几年了,但它们大部分都是在雷达下飞行的,因为它们往往以小型区域银行为目标,而不是高调的国家机构。在完成活动后,骗子每周从银行转到银行。
根据Liberty银行的数据,其他区域机构近几周也遭受了来自被黑客攻击的VoIP系统的大规模攻击。
Liberty没有提及其他银行的名称,但最近几周,Union State Bank和Solvay Bank报告了类似的诈骗案
刘易斯很幸运,他没有受到主要手机费用的打击。根据系统配置的不同,企业可能会对因事故而产生的任何电话费用(例如国际电话费用)负责。
“如果有人开始滥用您的电话系统,您可能会“Digium的托德说,”
自由银行第一副总裁Jill Hitchman认为,以她的银行为目标的骗子可能会触及30至35家企业,并且每天会拨打2万至3万个电话。 “我不认为这些公司意识到他们可能会收费,”Hitchman说。 “更大的问题是,这些电话系统如何被访问,为什么我们不能阻止它呢?”
只有少数Liberty的客户因为这个骗局而下降,Hitchman说,但攻击者知道他们在做什么。首先,他们将注册AOL帐户,以测试卡号是否有效。由于AOL提供免费试用会员资格,因此这些费用不会在数月内显示。到那时,骗子已经将这些信息放在假ATM卡上,并清空了银行帐户。
企业可以通过更改他们用于VoIP系统上的会话发起协议(SIP)连接的端口来防止大量这些攻击,通过在一定数量的故障后阻止连接,并通过在他们的语音系统上简单地使用更好的密码,安全专家说。
问题是,对于大多数中小型企业来说,安全并不是一个优先事项。 VoIP安全公司Secorix的首席技术官Rodney Thayer表示:“人们更关心他们的电话会议是否具有体面的电话质量。”他们并不认为他们的VoIP系统容易受到网络攻击像Web或电子邮件服务器,这是一个错误,Thayer说。 “他们认为这是一个不同的系统,而不是,”他说。 “这些都是一样的东西,都是通过网络传输的数据。”